部署 Azure 文件同步

  • 项目

使用 Azure 文件同步,即可将组织的文件共享集中在 Azure 文件中,同时又不失本地文件服务器的灵活性、性能和兼容性。 Azure 文件同步可将 Windows Server 转换为 Azure 文件共享的快速缓存。 可以使用 Windows Server 上可用的任意协议本地访问数据,包括 SMB、NFS 和 FTPS。 并且可以根据需要在世界各地具有多个缓存。

强烈建议先阅读规划 Azure 文件部署规划 Azure 文件同步部署,再按照本文中的步骤进行操作。

先决条件

  1. 要部署 Azure 文件同步的同一区域中的 Azure 文件共享。有关详细信息,请参阅:

  2. 必须启用以下存储帐户设置才能允许 Azure 文件同步访问存储帐户:

    • SMB 安全设置必须允许 SMB 3.1.1 协议版本、NTLM v2 身份验证和 AES-128-GCM 加密。 若要查看存储帐户的 SMB 安全设置,请参阅 SMB 安全设置
    • “允许存储帐户密钥访问”必须为“启用”。 若要检查此设置,请导航到存储帐户,然后在“设置”部分选择“配置”。

  3. 至少有一个受支持的 Windows Server 实例与 Azure 文件同步进行同步。有关受支持的 Windows Server 版本和建议的系统资源的详细信息,请参阅 Windows 文件服务器注意事项

  4. 可选:如果打算对 Windows Server 故障转移群集使用 Azure 文件同步,则必须先配置“通用文件服务器”角色,然后再在群集中的每个节点上安装 Azure 文件同步代理。 有关如何在故障转移集群上配置“通用文件服务器”角色的详细信息,请参阅部署双节点群集文件服务器

    注意

    Azure 文件同步支持的唯一场景是使用群集磁盘的 Windows Server 故障转移群集。 有关 Azure 文件同步,请参阅故障转移群集

  5. 尽管可以使用 Azure 门户进行云管理,但高级注册服务器功能是通过 PowerShell cmdlet 提供的,这些 cmdlet 预期在 PowerShell 5.1 或 PowerShell 6+ 中运行于本地。 Windows Server 2016 及更高版本默认提供 PowerShell 5.1。 在 Windows Server 2012 R2 上,可通过查看 $PSVersionTable 对象的“PSVersion”属性值来验证是否正在运行 PowerShell 5.1.* 或以上版本:

    $PSVersionTable.PSVersion

    与 Windows Server 2012 R2 的全新安装一样,如果你的 PSVersion 值低于 5.1.*,可通过下载并安装 Windows Management Framework (WMF) 5.1 进行升级。 需下载和安装的 Windows Server 2012 R2 的相应包为 Win8.1AndW2K12R2-KB*******-x64.msu。

    PowerShell 6 及以上版本可用于任何受支持的系统,并且可以通过其 GitHub 页面下载。

准备 Windows Server,用于 Azure 文件同步

对于要与 Azure 文件同步配合使用的每个服务器(包括故障转移群集中的服务器节点),请禁用“Internet Explorer 增强的安全性配置”。 只需在最初注册服务器时禁用。 可在注册服务器后重新启用。

注意

如果要在 Windows Server Core 上部署 Azure 文件同步,则可以跳过此步骤。

  1. 打开服务器管理器。
  2. 单击“本地服务器”
    服务器管理器 UI 左侧的“本地服务器”
  3. 在“属性”子窗格上,选择“IE 增强的安全性配置”的链接
    服务器管理器 UI 中的“IE 增强的安全配置”窗格
  4. 对于“Internet Explorer 增强的安全性配置”对话框中的“管理员”和“用户”,都选择“关” :
    选定“关”的“Internet Explorer 增强的安全配置”弹出窗口

部署存储同步服务

Azure 文件同步的部署过程首先会将一个“存储同步服务”资源放入所选订阅的资源组中。 我们建议尽量少预配这些资源。 将在服务器与此资源之间创建信任关系,一个服务器只能注册到一个存储同步服务。 因此,我们建议根据需要部署尽量多的存储同步服务,以隔离服务器组。 请记住,不同存储同步服务中的服务器不能彼此同步。

注意

存储同步服务已从其部署到的订阅和资源组继承访问权限。 我们建议仔细检查谁有权访问该服务。 具有写访问权限的实体可以开始从已注册到此存储同步服务的服务器同步新的文件集,使数据流向这些实体可以访问的 Azure 存储。

若要部署存储同步服务,请转到 Azure 门户,单击“创建资源”,然后搜索 Azure 文件同步。在搜索结果中,选择“Azure 文件同步”,然后选择“创建”,打开“部署存储同步”选项卡 。

在打开的窗格中,输入以下信息:

  • 名称:存储同步服务的唯一名称(按区域)。
  • 订阅:需要在其中创建存储同步服务的订阅。 根据组织的配置策略,可能有权访问一个或多个订阅。 Azure 订阅是对每项云服务(如 Azure 文件)计费的最基本容器。
  • 资源组:资源组是 Azure 资源(如存储帐户或存储同步服务)的逻辑组。 可为 Azure 文件同步创建新的资源组,也可对其使用现有资源组。(建议使用资源组作为用于从逻辑上隔离组织资源的容器,例如对 HR 资源或特定项目的资源进行分组。)
  • 位置:要在其中部署 Azure 文件同步的区域。此列表中仅提供受支持的区域。

完成后,选择“创建”部署存储同步服务

安装 Azure 文件同步代理

Azure 文件同步代理是一个可下载包,可实现 Windows 服务器与 Azure 文件共享的同步。

可从 Microsoft 下载中心下载代理。 下载完成后,双击 MSI 包,开始安装 Azure 文件同步代理。

重要

如果将对故障转移群集使用 Azure 文件同步,则必须在群集中的每个节点上安装 Azure 文件同步代理。 必须注册群集中的每个节点才能使用 Azure 文件同步。

建议执行以下操作:

  • 保留默认安装路径(C:\Program Files\Azure\StorageSyncAgent),以简化故障排除和服务器维护。
  • 启用 Microsoft 更新,使 Azure 文件同步保持最新。 Azure 文件同步代理的所有更新(包括功能更新和修补程序)都可从 Microsoft 更新进行。 建议将最新更新安装到 Azure 文件同步。有关详细信息,请参阅 Azure 文件同步更新策略

Azure 文件同步代理安装完成后,服务器注册 UI 自动打开。 在注册之前,必须创建存储同步服务;请参阅下一部分了解如何创建存储同步服务。

向存储同步服务注册 Windows Server

向存储同步服务注册 Windows Server 可在服务器(或群集)与存储同步服务之间建立信任关系。 一个服务器只能注册到一个存储同步服务,并可与同一存储同步服务关联的其他服务器和 Azure 文件共享同步。

注意

服务器注册使用你的 Azure 凭据在存储同步服务与 Windows Server 之间创建信任关系,但是,服务器随后会创建并使用自身有效的标识,前提是该服务器保持已注册状态,并且当前的共享访问签名令牌(存储 SAS)有效。 取消注册服务器后,无法将新的 SAS 令牌颁发给服务器,因此,服务器无法访问 Azure 文件共享,并停止任何同步。

注册服务器的管理员必须是给定存储同步服务的管理角色“所有者”或“参与者”的成员 。 这可以在 Azure 门户中的“访问控制(IAM)”下针对存储同步服务进行配置。

此外,还可以区分管理员将服务器注册到允许的服务器,也可以在存储同步服务中配置同步。 为此,需要创建一个自定义角色,列出只允许注册服务器的管理员,并为自定义角色提供以下权限:

  • “Microsoft.StorageSync/storageSyncServices/registeredServers/write”
  • “Microsoft.StorageSync/storageSyncServices/read”
  • “Microsoft.StorageSync/storageSyncServices/workflows/read”
  • “Microsoft.StorageSync/storageSyncServices/workflows/operations/read”

服务器注册 UI 应在 Azure 文件同步代理安装后自动打开。 如果没有打开,可以手动从其文件位置 C:\Program Files\Azure\StorageSyncAgent\ServerRegistration.exe 打开。 服务器注册 UI 打开时,请选择“登录”开始操作

登录后,系统会提示输入以下信息:

服务器注册 UI 的屏幕快照

  • Azure 订阅:包含存储同步服务的订阅(请参阅部署存储同步服务
  • 资源组:包含存储同步服务的资源组
  • 存储同步服务:想要向其注册的存储同步服务的名称

选择相应的信息之后,选择“注册”完成服务器注册。 在注册过程中,系统会提示进行其他登录。

创建同步组和云终结点

同步组定义一组文件的同步拓扑。 同步组中的终结点保持彼此同步。 同步组中必须包含一个表示 Azure 文件共享的云终结点,以及一个或多个服务器终结点。 服务器终结点表示已注册的服务器上的路径。 服务器可以包含多个同步组中的服务器终结点。 可以创建任意数量的同步组,以适当地描述所需的同步拓扑。

云终结点是指向 Azure 文件共享的指针。 所有服务器终结点将与某个云终结点同步,使该云终结点成为中心。 Azure 文件共享的存储帐户必须位于存储同步服务所在的同一个区域。 将同步整个 Azure 文件共享,但存在一种例外情况:将预配一个特殊的文件夹,它相当于 NTFS 卷上的“System Volume Information”隐藏文件夹。 此目录名为“.SystemShareInformation”。 其中包含不会同步到其他终结点的重要同步元数据。 请不要使用或删除它!

重要

可对同步组中的任何云终结点或服务器终结点进行更改,并将文件同步到同步组中的其他终结点。 如果直接对云终结点(Azure 文件分享)进行更改,首先需要通过 Azure 文件同步更改检测作业来发现更改。 每 24 小时仅针对云终结点启动一次更改检测作业。 有关详细信息,请参阅 Azure 文件常见问题解答

创建云终结点的管理员必须是存储帐户(其中包含云终结点指向的 Azure 文件共享)的管理角色“所有者”的成员。 这可以在 Azure 门户中的“访问控制(IAM)”下针对存储帐户进行配置。

要创建同步组,请在 Azure 门户中转到存储同步服务,然后选择“+ 同步组”:

在 Azure 门户中创建新的同步组

在打开的窗格中输入以下信息,创建具有云终结点的同步组:

  • 同步组名称:要创建的同步组的名称。 此名称在存储同步服务内必须是唯一的,但可以是符合逻辑的任何名称。
  • 订阅:在部署存储同步服务中用于部署存储同步服务的订阅
  • 存储帐户:如果选择“选择存储账户”,另一个窗格随即出现,可在其中选择包含要同步的 Azure 文件共享的存储帐户
  • Azure 文件共享:要与其同步的 Azure 文件共享的名称。

创建服务器终结点

服务器终结点代表已注册服务器上的特定位置,例如服务器卷中的文件夹。 服务器终结点受以下条件约束:

  • 服务器终结点必须是已注册的服务器(而不是装载式共享)上的路径。 不支持网络附加存储 (NAS)。
  • 尽管服务器终结点可以位于系统卷上,但系统卷上的服务器终结点可能不会使用云分层。
  • 不支持在卷上创建服务器终结点后更改路径或驱动器号。 请确保在已注册的服务器上使用最终路径。
  • 已注册的服务器可支持多个服务器终结点,但在任何给定时间,一个同步组中每个已注册的服务器只能有一个服务器终结点。 同步组中的其他服务器终结点必须位于不同的已注册的服务器上。

要添加服务器终结点,请转到新创建的同步组,然后选择“添加服务器终结点”。

在“同步组”窗格中添加一个新的服务器终结点

此时“添加服务器终结点”边栏选项卡会打开,请输入以下信息以创建服务器终结点:

  • 已注册的服务器:想要创建服务器终结点的服务器或群集的名称。
  • 路径:要同步到 Azure 文件共享的 Windows Server 上的路径。 路径可以是文件夹(例如 D:\Data)、卷根(例如 D:\)或卷装入点(例如 D:\Mount)。
  • 云分层:启用或禁用云分层的开关。 通过云分层可以将不常使用或访问的文件分层到 Azure 文件。 启用云分层后,你可以设置两种策略来通知 Azure 文件同步何时对冷文件进行分层:卷可用空间策略和日期策略。
    • 卷可用空间:要在服务器终结点所在的卷上保留的可用空间量。 例如,如果在只有一个服务器终结点的卷上将卷可用空间设置为 50%,则大约一半的数据量将分层到 Azure 文件存储。 不管是否启用云分层,Azure 文件共享在同步组中始终具有完整的数据副本。
    • 日期策略:如果未对文件进行访问(即读取或写入)的天数达到指定的天数,则将文件分层到云。 例如,如果你注意到超过 15 天没有访问的文件通常是归档文件,则应该把日期策略设置为 15 天。
  • 初始同步:“初始同步”部分仅适用于同步组中的第一个服务器终结点(在一个同步组中创建多个服务器终结点时,此部分更改为“初始下载”)。 在“初始同步”部分,可以选择“初始上传”和“初始下载”行为。

    • 初始上传:可以选择服务器最初如何将数据上传到 Azure 文件共享:

      • 选项 1:将此服务器路径的内容与 Azure 文件共享中的内容合并。 具有相同名称和路径的文件在内容不同时会导致冲突。 这些文件的两个版本将并排存储。 如果服务器路径或 Azure 文件共享为空,请始终选择此选项。
      • 选项 2:使用此服务器的路径中的内容,可靠地覆盖 Azure 文件共享中的文件和文件夹。 此选项可以避免文件冲突。

      若要了解详细信息,请参阅初始同步

    • 初始下载:可以选择服务器最初如何下载 Azure 文件共享数据:

      • 选项 1:先下载命名空间,然后回收文件内容,只要本地磁盘容纳得下。
      • 选项 2:仅下载命名空间。 文件内容在进行访问时回收。
      • 选项 3:避免分层文件。 文件只有在完全下载后才会出现在服务器上。

      若要了解详细信息,请参阅初始下载

要添加服务器终结点,请选择“创建”。 现在,文件在 Azure 文件共享和 Windows Server 之间保持保存。

可选:配置防火墙和虚拟网络设置

门户

如果要将 Azure 文件同步配置为使用防火墙和虚拟网络设置,请执行以下操作:

  1. 从 Azure 门户导航到要保护的存储帐户。

  2. 在左侧菜单中选择“网络”。

  3. 在“允许的访问来源”下,选择“所选网络” 。

  4. 确保服务器 IP 或虚拟网络列在“地址范围”部分下。

  5. 确保勾选“允许受信任的 Microsoft 服务访问此存储帐户”。

  6. 选择“保存”以保存设置。

    配置防火墙和虚拟网络设置以使用 Azure 文件同步

可选:通过早期版本和 VSS(卷影复制服务)进行自助式还原

以前的版本是一项 Windows 功能,可用于利用卷的服务器端 VSS 快照将文件的可恢复版本提供给 SMB 客户端。 这将直接为信息工作者(而不是依赖 IT 管理员的还原)提供一种功能强大的方案(通常称为自助还原)。

VSS 快照和先前版本的工作方式与 Azure 文件同步无关。但是,必须将云分层设置为兼容模式。 许多 Azure 文件同步服务器终结点可存在于同一个卷上。 即使相关卷仅具有一个你计划或正在使用云分层的服务器终结点,都必须对每个卷进行以下 PowerShell 调用。

Import-Module '<SyncAgentInstallPath>\StorageSync.Management.ServerCmdlets.dll'
Enable-StorageSyncSelfServiceRestore [-DriveLetter] <string> [[-Force]]

VSS 快照针对整个卷进行。 默认情况下,如果有足够的空间来存储快照,一个给定的卷最多可以存在 64 份快照。 VSS 会自动处理这种情况。 从星期一到星期五,默认快照计划每天创建两份快照。 可以通过 Windows 计划任务来配置该计划。 上述 PowerShell cmdlet 执行两项操作:

  1. 它配置指定卷上的 Azure 文件同步的云分层,让其可与先前版本兼容,并确保可以从以前的版本中还原文件,即使已将该文件分层到服务器上的云中。
  2. 启用默认 VSS 计划。 可以决定稍后对其进行修改。

注意

此处需要注意两个要点:

  • 如果你使用 -Force 参数,且当前启用了 VSS,则其将覆盖当前 VSS 快照计划,并将其替换为默认计划。 确保在运行 cmdlet 之前保存自定义配置。
  • 如果在群集节点上使用此 cmdlet,则还必须在群集中的所有其他节点上运行该 cmdlet!

若要查看是否已启用自助式还原兼容性,可运行以下 cmdlet。

Get-StorageSyncSelfServiceRestore [[-Driveletter] <string>]

它将列出服务器上的所有卷,以及每个卷的云分层兼容天数。 此数字根据每个卷的最大可能快照数和默认快照计划自动计算。 因此,默认情况下,提供给信息工作者的所有先前版本均可用于还原。 如果更改默认计划以创建更多快照,则情况也是如此。 但是,如果更改计划的方式导致该卷上的可用快照存在时限超过兼容天数值,则用户将无法使用该旧版的快照(以前的版本)进行还原。

注意

启用自助式还原可能会影响 Azure 存储使用和帐单。 此影响仅限于服务器上当前分层的文件。 启用此功能可确保云中提供的文件版本可通过早期版本(VSS 快照)条目进行引用。

如果禁用该功能,则 Azure 存储使用量将慢慢降低,直到兼容天数过去。 对此,无法进行加速。

每个卷的 VSS 快照的默认最大数 (64) 以及获取这些快照的默认计划,导致信息工作者最多可以还原 45 天的先前版本,具体取决于可在卷上存储的 VSS 快照数量。

如果每个卷最多 64 个 VSS 快照并非适合你的正确设置,则可通过注册表项更改该值。 为了使新限制生效,你需要重新运行 cmdlet,以在以前启用的每个卷上启用以前的版本兼容性,并使用 -Force 标志将每个卷新的最大 VSS 快照数考虑在内。 这将导致重新计算兼容天数。 请注意,此更改只会对新的分层文件生效,并覆盖你可能已执行的 VSS 计划中的任何自定义。

默认情况下,VSS 快照最多可占用 10% 的卷空间。 若要调整可用于 VSS 快照的存储空间,请使用 vssadmin resize shadowstorage 命令。

可选:主动从 Azure 文件共享召回新文件和更改的文件

即使在本地用户访问任何文件之前,也可通过 Azure 文件同步的一个模式来允许遍布全球的公司预先填充远程区域中的服务器缓存。 在服务器终结点上启用后,此模式将导致该服务器召回在 Azure 文件共享中已创建或更改的文件。

方案

重要

务必认识到,跟踪服务器上的 Azure 文件共享中的更改可能会增加出口流量并产生 Azure 计费。 如果实际上本地不需要召回到服务器的文件,那么到服务器的不必要召回会产生负面影响。 对于以下情况,请使用此模式:你知道使用云中的最新更改预填充服务器上的缓存会对使用该服务器上文件的用户或应用程序产生积极影响。

启用服务器终结点以主动召回 Azure 文件共享中的更改

  1. Azure 门户中,请转到存储同步服务,选择正确的同步组,然后在 Azure 文件共享(云终结点)中,确定想要密切跟踪其更改的服务器终结点。
  2. 在云分层部分中,找到“Azure 文件共享下载”主题。 你将看到当前所选模式,可以对其进行更改以更紧密地跟踪 Azure 文件共享更改,并主动将其召回服务器。

该图显示了当前有效的服务器终结点的 Azure 文件共享下载行为,以及用于打开相关菜单以对其进行更改的按钮。

可选:服务器终结点上的基于 QUIC 的 SMB

尽管 Azure 文件共享(云终结点)是一个能够从云或本地直接访问的完整 SMB 终结点,但需要在云端访问文件共享数据的客户通常会在托管于 Azure VM 的 Windows Server 实例上部署一个 Azure 文件同步服务器终结点。 额外部署一个服务器终结点而不是直接访问 Azure 文件共享的最常见原因是,直接在 Azure 文件共享上所做的更改可能需要长达 24 小时甚至更长时间才能被 Azure 文件同步发现,而在服务器终结点上所做的更改几乎可以立即发现并同步到所有其他服务器和云终结点。

这种配置在大部分用户不在本地的环境中(例如,用户在家里或者在旅途中办公)极其常见。 传统上,基于公共 Internet 使用 SMB 访问任何文件共享(包括托管在 Windows 文件服务器上或直接托管在 Azure 文件存储上的文件共享)非常困难,因为大多数组织和 ISP 会阻止端口 445。 可以使用专用终结点和 VPN 克服此限制,但 Windows Server 2022 Azure Edition 提供了一种额外的访问策略:基于 QUIC 的 SMB 传输协议。

基于 QUIC 的 SMB 通过端口 443 进行通信,大多数组织和 ISP 都会开放该端口以支持 HTTPS 流量。 对于使用 Windows 11 或更高版本的客户端,使用基于 QUIC 的 SMB 可以极大地简化访问托管在 Azure 文件同步服务器终结点上的文件共享所需的网络设置。 若要详细了解如何在 Windows Server Azure Edition 上设置和配置基于 QUIC 的 SMB,请参阅适用于 Windows 文件服务器的基于 QUIC 的 SMB

使用 Azure 文件同步进行载入

若要通过 Azure 文件同步在不停机的情况下首次进行载入,同时保持完整的文件保真度和访问控制列表 (ACL),则建议采用的步骤如下所述:

  1. 部署存储同步服务。
  2. 创建一个同步组。
  3. 在包含完整数据集的服务器上安装 Azure 文件同步代理。
  4. 注册该服务器并在共享中创建一个服务器终结点。
  5. 让同步服务执行到 Azure 文件共享(云终结点)的完整上传。
  6. 在初始上传完成后,在剩余的每台服务器上安装 Azure 文件同步代理。
  7. 在剩余的每台服务器上创建新的文件共享。
  8. 使用云分层策略在新的文件共享中创建服务器终结点(如果需要)。 (此步骤要求有额外的存储可供初始设置使用。)
  9. 让 Azure 文件同步代理在不实际传输数据的情况下快速还原整个命名空间。 在完成完整的命名空间同步后,同步引擎将根据服务器终结点的云分层策略填充本地磁盘空间。
  10. 确保同步完成,并根据需要测试拓扑。
  11. 将用户和应用程序重定向到此新共享。
  12. 还可以选择删除服务器上任何重复的共享。

如果没有可用于初始加入的额外存储空间,并且希望附加到现有共享,则可使用其他数据传输工具(而不是使用存储同步服务)上传数据,在 Azure 文件共享中预先播种数据。 仅当可以接受停机并且绝对可以保证在初始载入过程中服务器共享上不会发生数据更改时,才建议使用预先播种方法。

  1. 确保任何服务器上的数据在载入过程中都不会发生更改。
  2. 使用基于 SMB 的任何数据传输工具(例如 Robocopy 或基于 REST 的 AzCopy)在 Azure 文件共享中预先播种服务器数据。 如果使用 Robocopy,请确保使用存储帐户访问密钥(请勿使用域标识)装载 Azure 文件共享。 如果使用 AzCopy,请确保与适当的开关一起使用,以保留 ACL 时间戳和属性。
  3. 使用所需的指向现有共享的服务器终结点创建 Azure 文件同步拓扑。
  4. 让同步服务在所有终结点上完成对帐过程。
  5. 在对帐完成后,你可以打开共享进行更改。

预先播种方法当前有几个限制:

  • 在同步拓扑完全启动并运行之前更改服务器上的数据可能会导致服务器终结点上发生冲突。
  • 创建云终结点后,在开始初始同步之前,Azure 文件同步会运行一个进程来检测云中的文件。完成此进程所花的时间取决于各种因素,如网络速度、可用带宽以及文件和文件夹的数目。 对于预览版,粗略估计,检测流程以大约每秒 10 个文件的速度运行。因此,当在云中预先播种数据时,即使预先播种运行速度很快,获得完全运行的系统所需的总体时间也会更长。

将 DFS 复制 (DFS-R) 部署迁移至 Azure 文件同步

若要将 DFS-R 部署迁移至 Azure 文件同步,请执行以下操作:

  1. 创建一个同步组以表示要替换的 DFS-R 拓扑。
  2. 从 DFS-R 拓扑具有完整数据集的服务器开始迁移。 在该服务器上安装 Azure 文件同步。
  3. 注册该服务器,并为要迁移的第一个服务器创建服务器终结点。 请勿启用云分层。
  4. 让所有数据同步至你的 Azure 文件共享(云终结点)。
  5. 在剩余的每个 DFS-R 服务器上安装并注册 Azure 文件同步代理。
  6. 禁用 DFS-R。
  7. 在每个 DFS-R 服务器上创建服务器终结点。 请勿启用云分层。
  8. 确保同步完成,并根据需要测试拓扑。
  9. 注销 DFS-R。
  10. 现在应该可以根据需要在任何一个服务器终结点上启用云分层。

有关详细信息,请参阅 Azure 文件同步与分布式文件系统 (DFS) 的互操作

后续步骤